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L۹ التاريخ:‎ 


بعون الله تعالى 
نحن سلمسان بن عبدالعزيز آل سعود 
ملك المشلكقة الخرزيةالسعونية 
بناء على المادة (السبعين) من النظام اللأساسي للحكم› الصادر بالامر الملكي رقم %/*41( 
بتاريخ ۱۲/۸/۲۷٤۱ه.‏ 
ويناء على المادة (العشرين) من تلام مجلس الوزراءء الصادر بالامر الملكي رقم (\T/D‏ 
بتاريخ 41١4/8/7‏ اه. 
ويناء على المادة (الثامنة عشرة) من نظام مجلس الشورى› الصادر بالأمر الملكي رقم 241/5 
بتاريخ ۱۲/۸/۲۷٤۱ه.‏ 
ويعد الاطلاع على قراري مجلس الشورى رقم )۱۹/۹٩(‏ بتاريخ ۲/۷/۳٤٤١ه‏ ورقم 
4*١‏ ) بتاريخ 447/١7/77‏ اه. 
وبعد الاطلاع على قرار مجلس الوزراء رقم ( ٩۸‏ ) بتاريخ ۲/۷/٩۳٤٤١ه..‏ 
رسمنا بما هو آت: 
أولاً : الموافقة على نظام حماية البيانات الشخصية» بالصيغة المرافقة. 
ثانياً : استثناء مما ورد في المادة (الثالثة والأربعين) من نظام حماية البيانات الشخصية» يؤجل 
تطبيق ما ورد في الفقرة )١(‏ والفقرة (۲) من المادة (الثالثة والثلاشين) من النظام» وفقاً 
| لما يحدده رئيس الجهة المختصة ويما لا يتجاوز (خمس) سنوات من تاريخ نفاذ النظام. 
ثالثاً : قيام جهات التحكم - المنصوص عليها في الفقرة )١4(‏ من المادة (الأولى) من نظام حماية 
البيانات الشخصية - بتعديل أوضاعها وفقأ لاحكام النظام خلال مدة لا تزيد على سنة تبدأ 
من تاريخ نفاذه. وللجهة المختصة - لاسباب تقدرها - منح مدد إضافية لبعض الجهات 
لتعديل أوضاعها. 


Firefox 


1of25 


Firefox https://laws.boe.gov.sa2/BoeLaws/Laws/PrintAttachment/2989e12a-976... 


رابع : لا يخل تطبيق أحكام نظام حماية البيانات الشخصية ولوائحه التنفيذية بما للهيئة الوطنية 
للامن السيبراني من اختصاصات ومهمات بوصفها جهة أمنية مختصة بالامن السيبراني 
والمرجع الوطني في شؤونه في المملكةء وفقأ لتنظيمها الصادر بالأمر الملكي رقم (1۸۰۱) 
بتاريخ ٤۲۳۹/۲/۱۱‏ اه. 

خامساً :على سمو نائب رئسيس مجلس الوزراء والوزراء ورؤساء الاجهزة المعنية 
المستقلة - كل فيما يخُضُه - تنفيذ مرسومنا هذا. 


سلمان بن عبدالعزيز آل صعود 
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قرار رقم : (18) 


3 2 وتاريخ :07/؟/147اه 


بعد الاطلاع على المعاملة الواردة مسن الديوان الملكي برقم ۷٠*٤۲١‏ 
وتاريخ 7/4١/447١1هء‏ المشتملة على برقية وزارة الداخلية رقم 4١١78‏ 
وتاريخ 47/4/57 ١هء‏ في شأن مشروع نظام حماية البيانات الشخصية. 1 

ويعد الاطلاع على الأمرين الساميين رقم 00 لم ب) وتاريخ 5717/4/77 اهء 
ورقم (44 ۲۹۰) وتاريخ 4177/1/11 اه. 

ويعد الاطلاع على تنظيم الهيئة الوطنية للأمن السيبراني» الصادر بالامر الملكي 
رقم (1۸۰۱) وتاريخ ۳۹/۲/۱۱٤۱هھ.‏ 

ويعد الاطلاع على نظام البنك المركزي السعودي» الصادر بالمرسوم الملكي 
رقم (م/٣۳)‏ وتاريخ 47/4/١١‏ 54اه. 

وبعد الاطلاع على تنظيم هيئة الاتصالات وتقنية المعلومات» الصادر بقرار 
مجلس الوزراء رقم )۷٤(‏ وتاريخ 4717/5/0 ١ه‏ وتعديلاته. 

ويعد الاطلاع على الترتيبات التنظيمية للهيئة السعودية للبيانات والذكاء 
الاصطناعي » الصادرة بقرار مجلس الوزراء رقم (۲۹۲) وتاريخ 41/4/11 4 ١اه.‏ 

ويعد الاطلاع على المحاضر رقم (۲۰۱) وتاریخ ١/574/7١هء‏ ورقم (118) 
وتاريخ 4755/4/٠١‏ ١اهء‏ ورقم (۱۲۹۳) وتاريخ 44*/1/17١هء‏ ورقم (9١؟)‏ 
وتاريخ + 8447/54/١‏ ١ه»‏ والمذكرات رقم (*57) وتاریخ ٤١/٥/۲۰‏ ٤۱ه»›‏ ورقم ككف 
وتاريخ 4147/5/١‏ ١ه»ء‏ ورقم )١585(‏ وتاريخ 447/84/١١‏ ١هء‏ ورقم (۱۷۸۳) 
وتاريخ 6 هس ورقم (15184) وتاریخ 447/17/74١ه,‏ ورقم (۷۳) 
وتاريخ 47/1/١*‏ 4 ١هء‏ المعدة في هيئة الخبراء بمجلس الوزراء. 

ويعد الاطلاع على محضر مجلس الشؤون السياسية والأمنية رقم ٠١١5514‏ 
وتاريخ 4 1ه 
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ويعد الاطلاع على التوصية المعدة في مجلس الشؤون الاقتصادية والتنمية 

رقم 4-١(‏ /45 /د) وتاريخ 47/1١/١4‏ 54اه. 
وبعد النظر في قراري مجلس الشورى رقم )١1/47(‏ وتاريخ */45/1 4اهء 

ورقم )2 وتاريخ ٤۲/۱۲/۳‏ 84اه. 
وبعد الاطلاع على توصسية اللجنة العامة لمجلس الوزراء رقم )٩۹۲٩(‏ 

وتاريخ +؟/١/447اه.‏ 

يقرر ما يلي: 

أولاً : الموافقة على نظام حماية البيانات الشخصية: بالصيغة المرافقة. 

ثانياً : تكون الجهة المختصة هي الهيئة السعودية للبيانات والذكاء الاصطناعي: وذلك لمدة 
سنتين » ينظر خلالها -في ضوء ما ينتج عن تطبيق أحكام نظام حماية البيانات الشخصية 
ولوائحه التنفيذية وفي ضوء مستوى النضج في قطاع البيانات- في نقل اختصاص الإشراف 
على تطبيق أحكام النظام ولوائحه التنفيذية إلى مكتب إدارة البيانات الوطنية. 

ثالثاً: استثناء مما ورد في المادة (الثالثة والأربعين) من نظام حماية البيانات الشخصية» 
يؤجل تطبيق ما ورد في الفقرة )١(‏ والفقرة (۲) من المادة (الثالثة والثلاثين) من 
النظام» وفقاً لما يحدده رئيس الجهة المختصة ويما لا يتجاوز (خمس) سنوات من 
تاريخ نفاذ النظام. 

رابعاً : قيام جهات التحكم -المنصوص عليها في الفقرة )١۸(‏ من المادة (الاولى) من نظام 
حماية البيانات الشخصية - بتعديل أوضاعها وفقاً لأحكام النظام خلال مدة لا تزيد 
على (سنة) تبدأ من تاريخ نفاذه. وللجهة المختصة -لاسباب تقدرها- منح مدد 
إضافية لبعض الجهات لتعديل أوضاعها. 

خامساً: لا يخل تطبيق أحكام نظام حماية البيانات الشخصية ولوائحه التنفيذية بما للهيئة 
الوطنية للاامن السيبراني من اختصاصات ومهمات بوصفها جهة أمنية مختصة | 
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بالأمن السيبراني والمرجع الوطني في شؤونه في المملكة؛ وفقاً لتنظيمها الصادر 
بالأمر الملكي رقم )18*١(‏ وتاريخ ١١/؟474/1١ه.‏ 
وقد أعد مشروع مرسوم ملكي في شأن ما ورد في البنود (أولاً) و(ثالقاً) 
و(رابعا) و(خامسا) من هذا القرار» صيغته مرافقة لهذا. 
ساسا« می بين الجهة المختصة والبنك المركزي السعودي» لإعداد مذكرة تفاهم 
لتنظيم بعض الجوانب المرتبطة بتطبيق أحكام نظام حماية البيانات 
الشخصية ولوائحه التنفيذية في الجهات الخاضعة لإشراف البنك المركزي 
السعودي تنظيمياً؛ وتحديد دور كل منهما في هذا الشأن» وذلك مراعاة لعدم 
تداخل الاختصاصات بينهما في شان تطبيق أحكام النظام ولوائحه التنفيذية 
على الجهات الخاضعة لإشراف البنك المركزي السعودي تنظيمياًء وللحيلولة 
دون التاثير في استقلالية البنك المركزي السعودي» وللطبيعة الخاصة 
للتعاملات المالية والمصرفية» ولأجل تعزيز استقرار ونمو القطاعات التي 
يشرف عليها البنك المركز السعودي» على أن يستكمل إعداد المذكرة 
وتوقيعها بالتزامن مع نفاذ النظام. 
سابعاً: يُنسق بين الجهة المختصة وهيشة الاتصالات وتقنية المعلومات» لإعداد 
مذكرة تفاهم لتنظيم بعسض الجوانب المرتبطة بتطبيق أحكام نظام حماية 
البيانات الشخصية ولوائحه التنفيذية في الجهات الخاضعة لتنظيم هيشة 
الاتصالات وتقنية المعلومات» وللحيلولة دون التأثير على هيثة الاتصالات 
وتقنية المعلومات باعتبارها جهة تنظيمية مستقلة تشرف على 
قطاعات حساسة مرتبطة بتعاملات الافراد الشخصية» وتعزيزاً لاستقرار 
ونمو القطاعات التي تشرف عليهاء على أن يستكمل إعداد المذكرة وتوقيعها 
ر بالتزامن مع نفاذ النظام. 
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ثامناً : قيام الجهة المختصة بالتسيق مع الجهات التي تراهاء بحملة توعوية 
مستمرة لأصحاب البيانات الشخصية» وكذلك لموظفي جهات التحكم 
-المنصوص عليها في الفقرة )١4(‏ من المادة (لأولى) من نظام حماية 
البيانات الشخصية - أو العاملين التابعين لهاء لبيان الحقوق والالتزامات الواردة 
في النظام بعد نفاذه. 

تاسعا : قيام جهات التحكم -المنصوص عليها في الفقرة )١4(‏ من المادة (الاولى) من 
نظام حماية البيانات الشخصية - بالإجراءات اللازمة لعقد جلسات عمل وما في 
حكمها لموظفيها أو العاملين التابعين لهاء للتعريف بما ورد في النظام من 
مفردات ومبادئ بعد نفاذه. ولتلك الجهات التنسيق مع الجهة المختصة كلما 

التي الام الك في سبي ل تم المشورة وام 

عاشرا : قيام الجهة المختصة؛ بالتنسيق مع من تراه من الجهات ذات العلاقة» بتقويم 
نتائج تطبيق نظام حماية البيانات الشخصية وإبداء المرثيات المتعلقة به» بما في 
ذلك اقتراح ما قد يلزم من تعديلات عليه وذلك خلال (خمس) سنوات من 
تاريخ نفاذه» والرفع بما يلزم لاستكمال الإجراءات اللازمة. 

حادي عشر: قيام الجهة المختصة خلال مدة لا تتجاوز (سنة) من تاريخ نفاذ نظام حماية 
البيانات الشخصية» وبالتنسيق مع من تراه من الجهات ذات العلاقة» بمراجعة 
أحكام الأنظمة والقرارات واللوائح ذات العلاقة التي تناولت أحكاماً تتعلق بحماية 
البيانات الشخصية للافراد» واقتراح تعديلها بما يتوافق مع أحكام النظام » والرفع 
عما يتطلب استكمال إجراءات نظامية في شأنه. 

ثاني عشر: على الجهة المختصة أن تراعي عند إعدادها اللوائح التنفيذية لنظام حماية | 
البيانات الشخصية وضع أحكام وضوابط تتعلق بالإجراءات والوساثل التنظيمية 

| . والإدارية والتقنية المرتبطة بتخزين البيانات الشخصية لدى جهات کی 
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-المنصوص عليها في الفقرة (1۸) من المادة (الاولى) من النظام - بما يضمن 
المحافظة على البيانات الشخصية وفقاً لطبيعتها ودرجة حساسيتهاء وذلك استناداً 
إلى ما ورد في المادة (التاسعة عشرة) من النظام. 


رئيس مجلس الوزراء 
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المملكة العربية السعودية ص5 ا 
ر A.‏ التاريخ | / كاه 
نظام حماية البيانات الشخصية 

المادة الأولى: 

لغرض تطبيق هذا النظام» يُقصد بالألفاظ والعبارات الآتية -أينما وردت في هذا النظام- 

المعاني المبينة أمام كل منهاء ما لم يقتض السياق غير ذلك: 

-١‏ النظام: نظام حماية البيانات الشخصية. 

9 اللوائح: اللوائح التنفيذية للنظام. 

- الجهة المختصة: الجهة التي يصدر بتحديدها قرار من مجلس الوزراء. 

٤‏ - البيانات الشخصية: كل بيان -مهما كان مصدره أو شكله- من شأنه أن يؤدي إلى 
معرفة الفرد على وجه التحديد» أو يجعل التعرف عليه مكنا بصفة مباشرة أو غير مباشرة» 
ومن ذلك: الاسم ورقم الموية الشخصيةء والعناوين» وأرقام التواصل» وأرقام اليُخص 
والسجلات والممتلكات الشخصية: وأرقام الحسابات البنكية والبطاقات الائتمانية» وصور 
الفرد الثابتة أو المتحركة, وغير ذلك من البيانات ذات الطابع الشخصي. 

ه- المعاجة: أي عملية برق على البيانات الشخصية بأي وسيلة كانت يدوية أو آلية» ومن ذلك: 
عمليات الجمع؛ والتسجيل» والحفظء والفهرسةء والترتيب» والتنسيق» والتخزين» والتعديل» 
والتحديث» والدمج» والاسترجاع» والاستعمال» والإفصاح؛ والنقل» والنشرء والمشاركة في البيانات 
أو الربط البيني» والحجب» والمسح, والإتلاف. 

5- الجمع: حصول جهة التحكم على البيانات الشخصية وفقاً لأحكام النظام» سواء من 
صاحبها مُباشرةٌ أو ممن مُثله أو ممن له الولاية الشرعية عليه أو من طرف آخر. 

۷- الإتلاف: كل عمل يؤدي إلى إزالة البيانات الشخصية ويجعل من المتعذر الاطلاع عليها أو 
استعادتما مرة أخرى. 

8- الإفصاح: تمكين أي شخص -عدا جهة التحكم- من الحصول على البيانات الشخصية 
أو استعماها أو الاطلاع عليها بأي وسيلة ولأي غرض. 

4- النقل: نقل البيانات الشخصية من مكان إلى آخر لمعالجتها. 
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-١‏ النشر: بث أي من البيانات الشخصية عبر وسيلة نشر مقروءة أو مسموعة أو مرئية» أو 
إتاحتها. 

-١‏ البيانات الحساسة: كل بيان شخصي يتضمن الإشارة إلى أصل الفرد العرقي أو أصله القبلي» 
أو معتقده الديني أو الفكري أو السياسي» أو يدل على عضويته في جمعيات أو مؤسسات 
أهلية. وكذلك البيانات الجنائية والأمنية» أو بيانات السمات الحيوية التي تحدد المويةء أو 
البيانات الوراثية» أو البيانات الاثتمانية) أو البيانات الصحيةء وبيانات تحديد الموقع؛ والبيانات 
التي تدل على أن الفرد مجهول الأبوين أو أحدها. 

17 البيانات الوراثية: كل بيان شخصي يتعلق بالخصائص الورائية أو المكتسبة لشخص طبيعي) 
يحدد بشكل فريد السمات الفيسيولوجية أو الصحية لذلك الشخص» ويستخلص من تحليل 
عينة بيولوجية للشخص كتحليل الأحماض النووية أو تحليل أي عينة أخرى تؤدي إلى استخلاص 
بيانات ورأثية. 

-١‏ البيانات الصحية: كل بيان شخصي يتعلق بحالة الفرد الصحية» سواء الجسدية أو العقلية 
أو النفسية أو المتعلقة بالخدمات الصحية الخاصة به. 

-٤‏ الخدمات الصحية: الخدمات المتعلقة بصحة الفرد» ومن ذلك الخدمات الوقائية 
والعلاجية والتأهيلية والتنويم وتوفير الدواء. 

© - البيانات الائتمانية: كل بيان شخصي يتعلق بطلب الفرد الحصول على تمويل: أو 
حصوله عليه» سواء لغرض شخصي أو عائلي» من جهة تُمارس التمويل؛ بما في ذلك أي 
بيان يتعلق بقدرته على الحصول على ائتمان أو بقدرته على الوفاء به أو بتاريخه الاثتمانى. 

65- صاحب البيانات الشخصية: الفرد الذي تتعلق به البيانات الشخصية أو من يمثله أو من 
له الولاية الشرعية عليه. 

۷- الجهة العامة: أي وزارة أو مصلحة أو مؤسسة عامة أو هيئة عامة» أو أي جهة عامة 
مستقلة في المملكة» أو أي من الجهات التابعة ها. 
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نلیا ا 
ألمملكة العربية السعودية 5 لوي تي س 
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IS‏ ا 
٠ ٠ 2‏ 
دلو لهي مسد 


Bureau Of Experts At Tha Council Of Ministers 


۸- جهة التحكم: أي جهة عامة» وأي شخصية ذات صفة طبيعية أو اعتبارية خاصة؛ تحدد 
الغرض من معالجة البيانات الشخصية وكيفية ذلك؛ سواء أباشرت معالجة البيانات بوساطتها 
أم بوساطة جهة المعالجة. 

۹- جهة المعالجة: أي جهة عامة» وأي شخصية ذات صفة طبيعية أو اعتبارية خاصة؛ تعالح 
البيانات الشخصية لمصلحة جهة التحكم ونيابةٌ عنها. 

المادة الثانية: 

١‏ - يُطبق النظام على أي عملية مُعالجة لبيانات شخصية تتعلق بالأفراد تتم في المملكة بأي وسيلة 
كانت» ما في ذلك معالجة البيانات الشخصية المتعلقة بالأفراد المقيمين في المملكة بأي وسيلة 
كانت من أي جهة خارج المملكة. ويشمل ذلك بيانات المتوق إذا كانت ستؤدي إلى معرفته 
أو معرفة أحد أفراد أسرته على وجه التحديد. 

-١‏ يُستثنى من نطاق تطبيق النظام قيام الفرد بمعالجة البيانات الشخصية لأغراض لا تتجاوز 
الاستخدام الشخصي أو العائلي» ما دام أنه لم ينشرها أو يفصح عنها للغير. وتحدد اللوائح 
المقصود بالاستخدام الشخصي والعائلي المنصوص عليهما في هذه الفقرة. 

المادة الثالثة: 
لا تخل الأحكام والإجراءات المنصوص عليها في النظام بأي حكم يمنح حا لصاحب 

البيانات الشخصية أو يقرر حماية أفضل لماء ينص عليه نظام آخر أو اتفاقية دولية تكون المملكة 

طرفاً فيها. 

المادة الرابعة: 
يكون لصاحب البيانات الشخصية -وفقاً للأحكام الواردة في النظام- الحقوق الآنية: 

-١‏ الحق في العلم» ويشمل ذلك إحاطته علماً با مسوغ النظامي أو العملي المعتبر لجمع بياناته 
الشخصية» والغرض من ذلك وألاً تعالج بياناته لاحقاً بصورة تتنا مع الغرض من جمعها أو 
في غير الأحوال المنصوص عليها في المادة (العاشرة) من النظام. 
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=i 5 
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1- الحق في وصوله إلى بياناته الشخصية المتوافرة لدى جهة التحكم» ويشمل ذلك الاطلاع 
عليهاء والحصول على نسخة منها بصيغة واضحة ومطابقة لمضمون السجلات ويلا مقابل 
مادي -وفقاً لما تحدده اللوائح - وذلك دون إخلال بما يقضي به نظام المعلومات الائتمانية 
فيما يخص المقابل المالي» ودون إخلال بما تقضي به المادة (التاسعة) من النظام. 

۳- الحق في طلب تصحيح بياناته الشخصية المتوافرة لدى جهة التحكم أو إتمامهاء أو تحديثها. 

4- الحق في طلب إتلاف بياناته الشخصية المتوافرة لدى جهة التحكم ما انتهت الحاجة إليه 
منهاء وذلك دون إخلال بما تقضي به المادة (الثامنة عشرة) من النظام. 

ه- الحقوق الأخرى المنصوص عليها في النظام» التي ثُبينها اللوائح. 

المادة الخامسة: 

-١‏ فيما عدا الأحوال المنصوص عليها في النظام» لا تجوز معالجة البيانات الشخصية أو تغيير 
الغرض من معالجتها إلا بعد موافقة صاحبها. وبين اللوائح شروط الموافقة» والأحوال التي 
يحب فيها أن تكون الموافقة كتابية» والشروط والأحكام المتعلقة بالحصول على الموافقة من 
الولي الشرعي إذا كان صاحب البيانات الشخصية ناقص أو عدم الأهلية. 

؟- في جميع الأحوال؛ يجوز لصاحب البيانات الشخصية الرجوع عن الموافقة المشار إليها في 
الفقرة )١(‏ من هذه المادة في أي وقت» وتحدد اللوائح الضوابط اللازمة لذلك. 

المادة السادسة: 
لا تخضع معالجة البيانات الشخصية للموافقة المشار إليها في الفقرة )١(‏ من المادة (الخامسة) 

من النظام» في الأحوال الآنية: 

-١‏ عندما تُحقق المعالجة مصلحة متحققة لصاحب البيانات وكان الاتضال به متعذراً أو كان 


1- عندما تكون المعالجة بمقتضى نظام آخر أو تنفيذاً لاتفاق سابق يكون صاحب البيانات 
الشخصية طرفاً فيه. 
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e. < DNAS‏ يع ٠‏ / كاه 


Bureau Of Experts At The Council 04 کا‎ 


۳-إذا كانت جهة التحكم جهة عامة» وكانت تلك المعالجة مطلوبة لأغراض أمنية أو 
لاستيفاء مُتطلبات قضائية. 

المادة السابعة: 
لا جوز أن تكون الموافقة المشار إليها في الفقرة )١(‏ من المادة (الخامسة) من النظام شرطاً 

لإسداء خدمة أو تقديم منفعة» ما لم تكن الخدمة أو المنفعة ذات علاقة بمعالجة البيانات 

الشخصية التي صدرت الموافقة عليها. 

المادة الثامنة: 
مع مراعاة ما ينص عليه النظام واللوائح في شأن الإفصاح عن البيانات الشخصية» على جهة 

التحكم عند اختيارها جهة المعالجة أن تلتزم باختيار الجهة التي توفر الضمانات اللازمة لتنفيذ أحكام 

النظام واللوائح» وعليها التحقق بصفة مستمرة من التزام تلك الجهة بالتعليمات التي توجهها إليها في 
جميع ما يتعلق بحماية البيانات الشخصية ما لا يتعارض مع أحكام النظام واللوائح» ولا يخل ذلك 
بمسؤولياتما تجاه صاحب البيانات الشخصية أو الجهة المختصة بحسب الأحوال. وتحدد اللوائح 
الأحكام اللازمة لذلك» على أن تشتمل على الأحكام المتعلقة بأي تعاقدات لاحقة تقوم يما جهة 

المعالجة. 

المادة التاسعة: 

-١‏ يجوز لجهة التحكم تحديد مدد لممارسة حق الوصول إلى البيانات الشخصية المقرر في الفقرة 
(؟) من المادة (الرابعة) من النظامء وتتولى الجهة المختصة تحديد المدة المناسبة لذلك. ووز 
كذلك لجهة التحكم تقييد هذا الحق في الأحوال الآتية: 

أ- إذا كان ذلك ضروري لحماية صاحب البيانات الشخصية أو غيره من أي ضرر؛ وفق 
الأحكام التي تحددها اللوائح 

ب- إذا كانت جهة التحكم جهة عامة؛ وكان التقييد مطلوباً لأغراض أمنية أو لتنفيذ نظام 
آخر أو لاستيفاء مُتطلبات قضائية. 
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بنا ا ی 
المملكة العربية السعودية 5 الرقم 


001ل لي جم 22" 


المرفقات 


Bureau Of Experts Ai The Council Of Ministers 


؟- يجب على جهة التحكم ألا مُكّن صاحب البيانات الشخصية من الوصول إليها متى تحقق 
أي من الأحوال المنصوص عليها في الفقرات )١(‏ و(۲) و(؟) و(٤)‏ و(ه) و(1) من المادة 


(السادسة عشرة) من النظام. 
المادة العاشرة: 


لا يحوز لجهة التحكم جمع البيانات الشخصية إلا من صاحبها مباشرة» ولا تجوز كذلك مُعالجة 

تلك البيانات إلا لتحقيق الغرض الذي جُمعت من أجله. ومع ذلك يجوز لجهة التحكم جمع 

البيانات الشخصية من غير صاحبها مباشرةًء أو مُعالجتها لغرض آخر غير الذي جمعت من أجله» 

وذلك في الأحوال الآنية: 

-١‏ إذا وافق صاحب البيانات الشخصية على ذلك وفقاً لأحكام النظام. 

- إذا كانت البيانات الشخصية متاحة للعموم» أو جرى جمعها من مصدر متاح للعموم. 

*- إذا كانت جهة التحكم جهة عامة» وكان جمع البيانات الشخصية من غير صاحبها مباشرةٌ» أو 
مُعالجتها لغرض آخر غير الذي جمعت من أجله؛ مطلوباً لأغراض أمنية أو لتنفيذ نظام آخر أو 
لاستيفاء مُتطلبات قضائية وفق الأحكام التي تحددها اللوائح. 

٤‏ - إذا كان التقيد بهذا الحظر قد يُلحق ضرراً بصاحب البيانات الشخصية أو يؤثر على مصالحه 
الحيوية؛ وفق الأحكام التي تحددها اللوائح 

ه- إذا كان جمع البيانات الشخصية أو معالجتها ضروريًا لحماية الصحة أو السلامة العامة أو حماية 
حياة فرد أو أفراد معينين أو حماية صحتهم. وتبيّن اللوائح الضوابط والإجراءات المتعلقة بذلك. 

؟- إذا كانت البيانات الشخضية لن تُسجل أو تُحفظ تي صيغة تجعل من الممكن تحديد هوية 
صاحبها ومعرفته بصورة مباشرة أو غير مباشرة. وتبيّن اللوائح الضوابط والإجراءات المتعلقة 
بذلك. 

المادة الحادية عشرة: 

-١‏ يجب أن يكون الغرض من جمع البيانات الشخصية ذا علاقة مُباشرة بأغراض جهة التحكي 
وألا يتعارض مع أي حكم مقرر نظاماً. 
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ALVA 55‏ ي 
ا 5 ست ا ااه 


Bureau Of Experts Al The Council Of Ministers 


-١‏ يجب ألا تتعارض طرق جمع البيانات الشخصية ووسائلها مع أي حكم مقرر نظام وأن تكون 
ملائمة لظروف صاحبهاء ومباشرة وواضحة وآمنة» وخالية من أساليب الخداع أو التضليل أو 
الابتزاز. 

۳- يجب أن يكون محتوى البيانات الشخصية ملائماً ومقصوراً على الحد الأدنن اللازم لتحقيق 
الغرض من جمعهاء مع بحنب موله على ما يؤدي إلى معرفة صاحبها بصورة محددة متى تحقق 
الغرض من جمعها. وتحدد اللوائح الضوابط اللازمة لذلك. 

-٤‏ إذا اتضح أن البيانات الشخصية التي تجمع لم تعد ضرورية لتحقيق الغرض من جمعهاء فعلى 
جهة التحكم التوقف عن جمعهاء وإتلاف ما سبق أن جمعته منها فوراً. 

المادة الثانية عشرة: 

على جهة التحكم أن تعتمد سياسة لخصوصية البيانات الشخصية: وأن تجعلها متاحة 
لأصحابحا ليطلعوا عليها قبل جمع بياناتهم. على أن تشتمل تلك السياسة على تحديد الغرض من 
جمعهاء وتُحتوى البيانات الشخصية المطلوب جمعهاء وطريقة جمعهاء ووسيلة حفظهاء وكيفية 

معالجتهاء وكيفية إتلافها» وحقوق صاحبها فيما يتعلق بماء وكيفية ممارسة هذه الحقوق. 

المادة الثالثة عشرة: 

على جهة التحكي في حالة جمع البيانات الشخصية من صاحبها مباشرةٌ اتخاذ الوسائل 

الكافية لإحاطته علماً بالعناصر الآتية قبل البدء في جمع بياناته: 

-١‏ المسوغ النظامي أو العملي المعتير لجمع بياناته الشخصية. 

؟- الغرض من جمع بياناته الشخصية: وما إذا كان جمعها كلها أو بعضها إلزاميًا أم اختياريّاء 
وإحاطته كذلك بأن بياناته لن تعالج لاحقاً بصورة تتناق مع الغرض من جمعها أو في غير 
الأحوال المنصوص عليها في المادة (العاشرة) من النظام. 

-٣‏ هوية من يجمع البيانات الشخصية وعنوان مرجعه عند الاقتضاءء ما لم يكن جمعها لأغراض 


۴ 5-5 
أمنية. 
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NSR 1 هاا‎ A A ا‎ 
ANE 1 ت التاريخ‎ DEAS 


Bureau Of Experts At The Councîl Of Ministees‏ المرفقات 


4- الجهة أو الجهات التي سَيُجرى إفصاح البيانات الشخصية إليهاء وصفتهاء وما إذا كانت 
البيانات الشخصية ستنقل أو سيفصح عنها أو ستعالج خارج المملكة. 

ه- الآثار والأخطار امحتملة التي تترتب على عدم إتمام إجراء جمع البيانات الشخصية. 

5 - حقوقه المنصوص عليها في للادة (الرابعة) من النظام. 

۷- العناصر الأخرى التي تحددها اللوائح بحسب طبيعة النشاط الذي تمارسه جهة التحكم. 

المادة الرابعة عشرة: 
لا جوز لجهة التحكم أن تعالج البيانات الشخصية دون اتخاذ خطوات كافية للتحقق من 

دقتها واكتماها وحداثتها وارتباطها بالغرض الذي جُمعت من أجله وفقاً لأحكام النظام. 

المادة الخامسة عشرة: 
لا يجوز لجهة التحكم الإفصاح عن البيانات الشخصية إلا في الأحوال الآنية: 

-١‏ إذا وافق صاحب البيانات الشخصية على الإفصاح وفقاً لأحكام النظام. 

؟- إذا كانت البيانات الشخصية قد جرى جمعها من مصدر متاح للعموم. 

۳- إذا كانت الجهة التي تطلب الإفصاح جهة عامة» وذلك لأغراض أمنية أو لتنفيذ نظام آخر 
أو لاستيفاء مُتطلبات قضائية وفق الأحكام التي تحددها اللوائح. 

4- إذا كان الإفصاح ضروريًا لحماية الصحة أو السلامة العامة أو حماية حياة فرد أو أفراد معينين 
أو حماية صحتهم. وتبيّن اللوائح الضوابط والإجراءات المتعلقة بذلك. 

ه- إذا كان الإفصاح سيقتصر على معالجتها لاحقاً بطريقة لا تؤدي إلى معرفة هوية صاحب 
البيانات الشخصية أو أي فرد آخر على وجه التحديد. وتبيّن اللوائح الضوابط والإجراءات 
المتعلقة بذلك. 

المادة السادسة عشرة: 
على جهة التحكم ألا تفصح عن البيانات الشخصية في الأحوال المنصوص عليها في 

الفقرات )١(‏ و(۲) و(ه) من المادة (الخامسة عشرة) من النظام» متى اتصف الإفصاح بأيٍ ما 

ياتي: 
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المملكة العربية السعودية ۳ او تی 
2 اورم رع ع لاسرا 
ملل رو .ل رذ - > المرفقات 


Bureau Of Exports At The Council Of Ministers 


-١‏ أنه يمثل خطراً على الأمن؛ أو يسيء إلى “معة المملكة» أو يتعارض مع مصالحها. 

لا أنه يؤثر على علاقات المملكة همع دولة أخرى. 

-٣‏ أنه يمنع من كشف جرعة أو يمس حقوق متهم في الحصول على محاكمة عادلة أو يؤثر في 
سلامة إجراءات جنائية قائمة. 

21-4 يعرض سلامة فرد أو أفراد للخطر. 

ه- أنه يترتب عليه انتهاك خصوصية فرد آخر غير صاحب البيانات الشخصية وفق ما تحدده 
اللوائح. 

-١‏ أنه يتعارض مع مصلحة ناقص أو عدم للأهلية. 

۷- أنه يخل بالتزامات مهنية مقررة نظاماً. 

يتن عن مصدر سري لمعلومات تحتم المصلحة العامة عدم الكشف عنه. 

المادة السابعة عشرة: 

-١‏ إذا جرى تصحيح خطأ أو إكمال نقص أو إجراء تحديث في البيانات الشخصية» فعلى 
جهة التحكم أن تُشعر أي جهة أخرى انتقلت إليها تلك البيانات بأي تعديل يطرأ عليهاء 
وأن تنيح لها ذلك التعديل. 

-١‏ توضح اللوائح المدد الزمنية للتصحيح والتحديث» وأنواع التصحيح» والإجراءات المطلوبة 
لتفادي الآثار المترتبة على معالجة بيانات شخصية غير صحيحة أو غير دقيقة أو غير حديثة. 

المادة الثامنة عشرة: 

-١‏ على جهة التحكم إتلاف البيانات الشخصية فور انتهاء الغرض من جمعها. ومع ذلك» 
يجوز لما الاحتفاظ بتلك البيانات بعد انتهاء الغرض من جمعها إذا تمت إزالة كل ما يؤدي 
إلى معرفة صاحبها على وجه التحديد وفق الضوابط التي تحددها اللوائح. 

-١‏ على جهة التحكم الاحتفاظ بالبيانات الشخصية حتى بعد انتهاء الغرض من جمعها في 
الحالتين الآتيتين: 
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المملكة العربية السعودية 5 الرقم 


المرفقات 


أ- إذا توافر مسوغ نظامي يوجب الاحتفاظ بما مدة حددةء وفي هذه الحالة مجرى إتلافها 
بعد انتهاء هذه المدة أو انتهاء الغرض من جمعهاء أيهما أطول. 

ب- إذا كانت البيانات الشخصية متصلة اتصالاً وثيقاً بقضية منظورة أمام جهة قضائية 
وكان الاحتفاظ بها مطلوباً هذا الغرض» وفي هذه الحالة يخرى إتلافها بعد استكمال 
الإجراءات القضائية الخاصة بالقضية. 


المادة التاسعة عشرة: 
على جهة التحكم اتخاذ ما يلزم من إجراءات ووسائل تنظيمية وإدارية وتقنية تضمن 
امحافظة على البيانات الشخصية» بجا في ذلك عند نقلها؛ وذلك وفقاً للأحكام والضوابط التي 
تحددها اللوائح. 
المادة العشرون: 
-١‏ تُشعر جهة التحكم الجهة المختصة فور علمها بحدوث تسرّب أو تلف لبيانات شخصية أو 
حدوث وصول غير مشروع إليها. 
؟- تحدد اللوائح الأحوال التي يجب فيها على جهة التحكم إشعار صاحب البيانات الشخصية 
في حالة حدوث تسرّب أو تلف لبياناته الشخصية أو حدوث وصول غير مشروع إليها. وإذا 
كان من شأن حدوث أي نما سبق أن يرتب ضرراً جسيماً على بياناته أو على نفسه» 
فيجب على جهة التحكم إشعاره فوراً. 
المادة الحادية والعشرون: 
على جهة التحكم الاستجابة لطلبات صاحب البيانات الشخصية المتعلقة بحقوقه المنصوص 
عليها في النظام خلال مدة محددة وعبر وسيلة مناسبة تبينهما اللوائح. 
المادة الثانية والعشرون: 
على جهة التحكم إجراء تقويم للآثار المترتبة على معالجة البيانات الشخصية لأي منتج أو 
خدمة تقدم للعموم بحسب طبيعة النشاط الذي تمارسه جهة التحكم؛ وتحدد اللوائح الأحكام 
اللازمة لذلك. 
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المادة الثالثة والعشرون: 
تحدد اللوائح الضوابط والإجراءات الإضافية -بما لا يتعارض مع أحكام النظام- في شأن 

معالجة البيانات الصحية بما يكفل المحافظة على خصوصية أصحابها ويحمي حقوقهم الواردة في 

النظام» على أن تشتمل على ما يأي: 

-١‏ قصر حق الاطلاع على البيانات الصحية -بما فيها الملفات الطبية- على أقل عدد ممكن 
من الموظفين أو العاملين وبالقدر اللازم فقط لتقديم الخدمات الصحية اللازمة. 

۲- تقييد إجراءات وعمليات مُعالجة البيانات الصحية إلى أقل قدر ممكن من الموظفين والعاملين 
لتقديم الخدمات الصحية أو توفير برامج التأمين الصحي. 

المادة الرابعة والعشرون: 
تحدد اللوائح الضوابط والإجراءات الإضافية -بما لا يتعارض مع أحكام النظام- في شأن 

معالجة البيانات الائتمانية بما يكفل الحافظة على خصوصية أصحابما ويحمي حقوقهم الواردة في 

النظام ونظام المعلومات الائتمانية» على أن تشتمل على ما يأتي: 

-١‏ اتخاذ ما يلزم للتحقق من توافر الموافقة الكتابية من صاحب البيانات الشخصية على جمع 
هذه البيانات أو تغيير الغرض من جمعها أو الإفصاح عنها أو نشرها وفق أحكام النظام 
ونظام المعلومات الائتمانية. 

- وجوب إشعار صاحب البيانات الشخصية عند ورود طلب الإفصاح عن بياناته الائتمانية 
من اي جهة. 

المادة الخامسة والعشرون: 
فيما عدا المواد التوعوية التي ترسلها الجهات العامة لا يجوز لجهة التحكم استخدام وسائل 

الاتصال الشخصية حبما فيها العناوين البريدية والإلكترونية- الخاصة بصاحب البيانات الشخصية 

لأجل إرسال مواد دعائية أو توعوية: إلا وفقاً لا يأني: 

-١‏ أن تؤخذ موافقة المتلقي المستهدف على إرسال هذه المواد إليه. 

-١‏ أن يوفر مرسل المواد آلية واضحة -بحسب ما تحدده اللوائح- تكن المتلقي المستهدف من 
إبداء رغبته في التوقف عن إرساها إليه عند رغبته في ذلك. 
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Bureau Of Experts At The Council Of Ministers 


وتحدد اللوائح الأحكام المتعلقة بالمواد الدعائية والتوعوية المشار إليها في هذه المادة 
وشروط وأحوال موافقة المتلقي المستهدف على إرسال هذه المواد إليه. 
المادة السادسة والعشرون: 
فيما عدا البيانات الحساسة» تجوز معالجة البيانات الشخصية لأغراض تسويقية» إذا جرى 
جمعها من صاحبها مباشرةٌ ووافق على ذلك وفق أحكام النظام. وتحدد اللوائح الضوابط اللازمة 
لذلك. 
المادة السابعة والعشرون: 
يجوز جمع البيانات الشخصية أو مُعالجتها لأغراض علمية أو بحثية أو إحصائية دون موافقة 
صاحبهاء في الأحوال الآنية: 
-١‏ إذا لم تتضمن البيانات الشخصية ما يدل على هوية صاحبها على وجه التحديد. 
؟- إذا كان سيُجرى إتلاف ما يدل على هوية صاحب البيانات الشخصية على وجه التحديد 
خلال عملية مُعالجتها وقبل الإفصاح عنها لأي جهة 5 و تكن تلك البيانات بيانات 
حساسة. 
۳- إذا كان جمع البيانات الشخصية أو معالجتها لهذه الأغراض يقتضيها نظام آخر أو تنفيذاً 
لاتفاق سابق يكون صاحبها طرفاً فيه. 
وتحدد اللوائح الضوابط اللازمة لما ورد في هذه المادة. 
المادة الثامنة والعشرون: 
لا جوز تصوير الوثائق الرمية التي تحدد هوية صاحب البيانات الشخضية أو نسخهاء إلا 
عندما يكون ذلك تنفيذاً لأحكام نظام أو عندما تطلب جهة عامة مختصة تصوير تلك الوثائق 
أو نسخها وفق ما تحدده اللوائح. 
المادة التاسعة والعشرون: 
فيما عدا حالات الضرورة القصوى للمحافظة على حياة صاحب البيانات خارج المملكة 
أو مصالحه الحيوية أو الوقاية من عدوى مرضية أو فحصها أو معالجتهاء لا يجوز لجهة التحكم 
نقل البيانات الشخصية إلى خارج المملكة أو الإفصاح عنها لجهة خارج المملكة إلا إذاكان ذلك 
۱۲ 
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تنفيذاً لالتزام بموجب اتفاقية تكون المملكة طرفاً فيه» أو لخدمة مصالح المملكةء أو لأغراض 

أخرى وفقاً لما تحدده اللوائح» وذلك بعد أن تتوافر الشروط الآنية: 

-١‏ ألا يترتب على النقل أو الإفصاح مساس بالأمن الوطني أو بمصالح المملكة الحيوية. 

؟- أن تقدم ضمانات كافية للمحافظة على البيانات الشخصية التي سَيُجرى نقلها أو الإفصاح 
عنها وعلى سريتهاء بحيث لا تقل معايير حماية البيانات الشخصية عن المعايير الواردة في 


النظام واللوائح. 
-٣‏ أن يقتصر النقل أو الإفصاح على الحد الأدى من البيانات الشخصية الذي تدعو الحاجة 
إليه. 


- موافقة الجهة المختصة على النقل أو الإفصاح وفقاً لما تحدده اللوائح. 
وفيما عدا الشرط الوارد في الفقرة )١(‏ من هذه المادة» يجوز للجهة المختصة أن تعفي جهة 

التحكم -في كل حالة على حدة- من الالتزام بأحد الشروط المشار إليها؛ متى قدّرت الجهة 

المختصة منفردة أو بالاشتراك مع جهات أخرى أن البيانات الشخصية سيتوافر ها مستوى مقبول 

من الحماية خارج المملكة» ونم تكن تلك البيانات بيانات حساسة. 

المادة الثلاثون: 

-١‏ مع عدم الإخلال بأحكام النظام وما للبنك المركزي السعودي من صلاحيات وفقاً لما 
تقضي به النصوص النظامية ذات العلاقة» تكون الجهة المختصة الجهة المشرفة على تطبيق 
أحكام النظام واللوائح. 

-١‏ على جهة التحكم أن تعيّن أو تحدد شخصاً (أو أكثر) من منسوبيها ليكون مسؤولاً عن 
التزامها بتطبيق أحكام النظام واللوائح. وتحدد اللوائح الأحكام المتعلقة بما ورد في هذه الفقرة. 

-٠‏ على جهة التحكم التعاون مع الجهة المختصة في سبيل مباشرتها مهماتما المتعلقة بالإشراف 
على تطبيق أحكام النظام واللوائح» وعليها كذلك اتخاذ ما يلزم من إجراءات حيال المسائل 
المتعلقة بذلك التي تحيلها الجهة المختصة إليها. وللجهة المختصة طلب الوثائق أو المعلومات 
اللازمة من جهة التحكم للتأكد من التزامها بأحكام النظام واللوائح. 
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Bureau Of Experls At The Council 01 Ministers‏ المرهقات 

-٤‏ يجوز للجهة المختصة -وفق ما تقدره- تفويض غيرها من الجهات في مباشرة بعض المهمات 
الموكولة إليها المتعلقة بالإشراف على تطبيق أحكام النظام واللوائح. 

المادة الحادية والغلاثون: 
دون إخلال ما ورد في المادة (الثامنة عشرة) من النظام» تحتفظ جهة التحكم بسجلات لمدة 

تحددها اللوائح لأنشطة معالجة البيانات الشخصية بحسب طبيعة النشاط الذي تمارسه جهة 

التحكم؛ لتكون متاحة عندما تطلبها الجهة المختصة. على أن تشمل السجلات حدًا أدى من 
٠‏ البيانات الآنية: 

-١‏ تفاصيل الاتصال الخاصة بجهة التحكم. 

۲- الغرض من معالجة البيانات الشخصية. 

'- وصف فئات أصحاب البيانات الشخصية. 

٤‏ - أي جهة جرى (أو سَيُجرى) إفصاح البيانات الشخصية إليها. 

ه- ما إذا جرى (أو سَيُجرى) نقل البيانات الشخصية إلى خارج المملكة أو الإفصاح عنها لجهة 
خارج المملكة. 

5- المدة الزمنية المتوقعة للاحتفاظ بالبيانات الشخصية. 

المادة الثانية والغلاثون: 

-١‏ تقوم الجهة المختصة بإنشاء بوابة إلكترونية لغرض بناء سجل وطني عن جهات التحكي 
تمدف إلى مراقبة ومتابعة التزام تلك الجهات بأحكام النظام واللوائح» وتقديم الخدمات 
المرتبطة بإجراءات حماية البيانات الشخصية لجهات التحكم؛ وذلك وفق ما تحدده اللوائح. 

- تلتزم جميع جهات التحكم بالتسجيل في البوابة المشار إليها في الفقرة )١(‏ من هذه المادة» 
وتستحصل الجهة المختصة رسماً سنوياً ثابتاً ما لا يتجاوز (مائة ألف) ريال؛ عن تسجيل 
جهات التحكم ذات الصفة الاعتبارية الخاصة في البوابة المشار إليها في الفقرة )١(‏ من هذه 
المادة» على أن تحدد اللوائح مقدار الرسم السنوي الثابت بما لا يتجاوز الحد الأقصى المقررء 
وذلك بحسب طبيعة النشاط الذي تمارسه تلك الجهات. 
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e Bureau Of Experts At The Counea OI Ministers 

۳- يخصص ف البوابة سجل خاص لكل جهة تحكم تدون فيه السجلات المشار إليها في المادة 

(الحادية والثلاثين) من النظام وغيرها من الوثائق أو المعلومات اللازمة ذات الصلة بمعالجة 
البيانات الشخصية. 

المادة الثالثة والثلاثون: 

-١‏ تختص الجهة المختصة بالموافقة على مارسة الأنشطة التجارية أو المهنية أو غير الريحية المرتبطة 
بحماية البيانات الشخصية في المملكة وفقاً لما تحدده اللوائح. 

1- يجب على الجهة التي في خارج المملكة -عند معالجتها لبيانات شخصية تتعلق بالأفراد 
المقيمين في المملكة بأي وسيلة كانت- أن تعين ممثلاً لها في المملكة ترخص له الجهة المختصة 
لمباشرة التزاماته المقررة بموجب أحكام النظام واللوائح. ولا يخل هذا التعيين بمسؤوليات تلك 
الجهة تجاه صاحب البيانات الشخصية أو الجهة المختصة بحسب الأحوال. وتبين اللوائح 
الأحكام المتعلقة بالترخيص وحدود علاقة الممثل بالجهة التي في خارج المملكة التي يمثلها. 

۳- يجوز للجهة المختصة الترخيص لجهات تتولى إصدار شهادات اعتماد لجهة التحكم وجهة 
المعالجة» على أن تضع الجهة المختصة القواعد المنظمة لإصدار تلك الشهادات. 

المادة الرابعة والثلاثون: 

يحوز لصاحب البيانات الشخصية التقدم إلى الجهة المختصة بأي شكوى ناشئة من تطبيق 
النظام واللوائح. وتحدد اللوائح ضوابط معالجة الجهة المختصة للشكاوى التي يقدمها صاحب 

البيانات الشخصية الناشعة من تطبيق النظام واللوائح. 

المادة الخامسة والثلاثون: 

-١‏ مع عدم الإخلال بأي عقوبة أشد منصوص عليها في نظام آخرء تكون عقوبة ارتكاب 
المخالفات الآنية وفقاً لما دون أمامها: 

أ -كل من أفصح عن بيانات حساسة أو نشرها مخالًا أحكام النظام: يعاقب بالسجن مدة 
لا تزيد على (ستتين) وبغرامة لا تزيد على (ثلاثة ملايين) ريال» أو بإحدى هاتين 
العقوبتين؛ إذاكان ذلك بقصد الإضرار بصاحب البيانات أو بقصد تحقيق منفعة 
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ب- كل من خالف أحكام المادة (التاسعة والعشرين) من النظام: يعاقب بالسجن مدة لا 
تزيد على (سنة) وبغرامة لا تزيد على (مليون) ريال» أو بإحدى هاتين العقوبتين. 

1- تختص النيابة العامة بمهمة التحقيق» والادعاء أمام المحكمة المختصة عن المخالفات المنصوص 
عليها قي هذه المادة. 

۳- تتولى المحكمة المختصة النظر في الدعاوى الناشئة من تطبيق هذه المادة وإيقاع العقوبات 
لمقررة. 

5 - يجوز للمحكمة المختصة مضاعفة عقوبة الغرامة في حالة العود حتى لو ترتب عليها تحاوز الحد 
الأقصى لما على ألا تتجاوز ضعف هذا الحد. 

المادة السادسة والثلاثون: 

-١‏ فيما لم يرد في شأنه نص خاص ف المادة (الخامسة والثلاثين) من النظام» ودون إخلال بأيّ 
عقوبة أشد منصوص عليها في نظام آخر؛ تُعاقب بالإنذار أو بغرامة لا تزيد على (خمسة 
ملايين) ريال» كل شخصية ذات صفة طبيعية أو اعتبارية خاصة -مشمولة بأحكام النظام- 
خالفت أيّا من أحكام النظام أو اللوائح. وتجوز مضاعفة عقوبة الغرامة في حالة تكرار 
المخالفة حتى لو ترتب عليها تجاوز الحد الأقصى ها على ألا تتجاوز ضعف هذا الحد. 

1- تككون بقرار من رئيس الجهة المختصة: لجنة (أو أكثر) لا يقل عدد أعضائها عن (ثلاثة)؛ 
ويسمى أحدهم رئيساء ويكون من بينهم مستشار شرعي أو نظامي؛ تتولى النظر في 
المخالفات وإيقاع عقوبة الإنذار أو الغرامة المنصوص عليها في الفقرة )١(‏ من هذه المادة» 
وذلك بحسب نوع المخالفة المرتكبة وجسامتها ومدى تأثيرهاء على أن يعتمد قرار اللجنة 
رئيس الجهة المختصة أو من يفوضه بذلك. ويصدر رئيس الجهة المختصة -بقرار منه- قواعد 
عمل اللجنةء وتحدد فيها مكافآت أعضائها. 

- يحق لمن صدر ضده قرار من اللجنة المنصوص عليها في الفقرة (۲) من هذه المادة التظلم منه 
أمام المحكمة المختصة. 
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المادة السابعة والغلاثون: 

-١‏ يتولى الموظفون أو العاملون -الذين يصدر بتسميتهم قرار من رئيس الجهة المختصة- ضبط 
المخالفات المنصوص عليها في النظام أو اللوائح. 

؟- للجهة المختصة الحق في حجز الوسائل أو الأدوات المستخدمة في ارتكاب المخالفة إلى حين 
البت فيها. 

المادة الثامنة والغلاثون: 

-١‏ مع عدم الإخلال بحقوق الغير حسن النية» يجوز للمحكمة المختصة الحكم بمصادرة الأموال 
المتحصلة من جراء ارتكاب المخالفات المنصوص عليها في النظام. 

-١‏ يجوز للمحكمة المختصة أو اللجنة المنصوص عليها في الفقرة (؟) من المادة (السادسة 
والثلاثين) -بحسب الأحوال- تضمين الحكم أو القرار الصادر من أي منهما بتحديد العقوبة 
النصّ على نشر ملخصه على نفقة المحكوم عليه أو المخالف في صحيفة محلية (أو أكثر) 
تصدر في مكان إقامته» أو في أي وسيلة أخرى مناسبة» وذلك بحسب نوع المخالفة المرتكبة 
وجسامتها ومدى تأثيرهاء على أن يكون النشر بعد اكتساب الحكم الصفة القطعية» أو 
تحصن القرار بفوات ميعاد التظلم منه» أو صدور حكم نمائي برفض التظلم منه. 

المادة التاسعة والثلاثون: 

دون إخلال بما ورد في المادة (الخامسة والثلائين) والفقرة )١(‏ من المادة (السادسة 
والثلاثين) من النظام» يجب على الجهة العامة مساءلة أي عو منسوبيها -تأديييًا- في حال 

مخالفته أي من أحكام النظام واللوائح؛ وفق أحكام وإجراءات المساءلة والتأديب المقررة نظاماً. 

المادة الأربعون: 
مع عدم الإخلال بإيقاع العقوبات المنصوص عليها في النظام» لمن لحقه ضرر -نتيجة 

ارتكاب أي من المخالفات المنصوص عليها في النظام أو اللوائح- حق المطالبة أمام امحكمة 

المختصة بالتعويض عن الضرر المادي أو المعنوي بما يتناسب مع حجم الضرر. 
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المادة الحادية والأربعون: 

يلتزم كل من باشر عملا من أعمال معالجة البيانات الشخصية بالحافظة على الأسرار المتعلقة 
بالبيانات حتى بعد انتهاء علاقته الوظيفية أو التعاقدية. 
المادة الثانية والأربعون: 
تاريخ صدور النظام» على أن ينق -قبل إصدارها- مع وزارة الاتصالات وتقنية المعلومات 
ووزارة الخارجية وهيئة الاتصالات وتقنية المعلومات والهيئة الوطنية للأمن السيبراني والمجلس الصحي 
السعودي والبنك المركزي السعودي» ك فيما يخصه. 
المادة الثالثة والأربعون: 

يُعمل بالنظام بعد (مائة وثمانين) يوماً من تاريخ نشره في الجريدة الرسمية. 
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